package middleware

import (
	"github.com/gin-gonic/gin"
)

func Cors() gin.HandlerFunc {
	return func(c *gin.Context) {
		// 明确设置允许的源
		c.Writer.Header().Set("Access-Control-Allow-Origin", "http://localhost")
		c.Writer.Header().Set("Access-Control-Allow-Credentials", "true")
		c.Writer.Header().Set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
		// 添加首字母大写的Token头部名称
		c.Writer.Header().Set("Access-Control-Allow-Headers", "Origin, Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization, access_token, refresh_token, Access_token, Refresh_token")

		if c.Request.Method == "OPTIONS" {
			c.AbortWithStatus(200)
			return
		}

		c.Next()
	}
}

// 统一设置 CORS头
// func setCORSHeaders(c *gin.Context) {
// 	c.Writer.Header().Set("Access-Control-Allow-Origin", "*") //允许所有域名,允许跨域 frontend ——> backend 浏览器不会允许前端直接请求不同域名的资源，除非后端服务器明确允许。
// 	c.Header("Access-Control-Allow-Origin", "*")              // 允许的请求方法
// 	c.Header("Access-Control-Allow-Methods", allowMethods)    // 允许的请求方法
// 	c.Writer.Header().Set("Access-Control-Allow-Headers", "Origin, Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization, access_token, refresh_token, Access_token, Refresh_token")
// 	c.Header("Access-Control-Expose-Headers", exposeHeaders)       // 允许的暴露的响应头
// 	c.Header("Access-Control-Max-Age", maxAge)                     // 缓存请求信息时间 预检请求缓存 2 天
// 	c.Header("Access-Control-Allow-Credentials", allowCredentials) // 是否允许跨域请求携带cookie
// 	c.Set("content-type", "application/json")                      // 设置返回格式是json
// }

// 跨域请求时，浏览器会自动加 Origin 头，这是浏览器的安全机制，用来表示请求来源。
// 同源请求不会加 Origin 头，因为请求源和目标源相同，不需要通过 Origin 来验证。
// 后端发起的请求不会有 Origin 头，因为没有浏览器的安全机制限制。
